电信网和公共电信网的简称。最后公里问题建设广域网时，用户局域网或园区网连接附近电信部门信道的最后段距离的连接问题。这段距离通常小于公里，但也有大于公里的情况。为简便，同称为最后公里问题。涉及计算机网络的术语和定义请参见中国石油局域网标准。本资料来自本资料来自目录概述目标适用范围引用的文件或标准术语和定义应用系统安装管理测试安全版本管理安全应用系统使用管理使用者身份识别管理基于人员职责的应用系统分级授权管理安全运营管理安全控制管理应用系统安全日志管理和监控管理应用系统维护管理规范备份管理规范维护安全管理规范卸载处理管理规范附录参考文献附录本规范用词说明本资料来自本资料来自概述应用系统的概念是将技术与用户业务上的实际需求结合在起，直接面对使用者用于支持用户更快更好更有效的完成实际工作的集成的人机交互系统。应用系统是建立在物理硬件系统软件操作系统之上的信息系统。根据应用系统完成目标和服务对象的不同目前主要分为以下几种类型业务处理系统职能信息系统组织信息系统和决策支持系统。本通则通过对各种类型的应用系统在使用过程中面临的各种与安全相关的并且具有定通用性的问题进行阐述。从应用系统安装实施到使用到最后的维护报废的各个阶段入手，对应用系统使用中的安全问题加以相应的规范，确保应用系统在使用中的安全管理。目标本规范的目标为保护应用系统在使用的各个阶段的安全。具体来说就是保护应用系统安装实施中的安全，保证应用系统在使用中的安全和在维护和报废过程中的安全。并使得应用系统不断的符合中国石油的实际业务需求和安全管理上的需求。使应用系统更好的为中国石油的业务发展服务。适用范围本套规范适用的范围包括了所有在应用系统使用过程中相关的安全问题和安全事件。具体来说包括了应用系统安装过程中的安全问题，使用中的安全问题和维护报废过程中的安全问题，同时也包含了应用系统使用中版权的管理问题。本通则面向所有的应用系统的使用者应用系统的维护和开发人员以及企业内部信息安全的管理人员和技术人员。本资料来自本资料来自引用的文件或标准下列文件中的条款通过本标准的引用而成为本标准的条款。凡是不注日期的引用文件，其最新版本适用于本标准。计算机信息系统安全保护等级划分准则信息处理系统开放系统互连基本参考模型计算机信息系统安全等级保护管理要求信息技术安全管理指南信息安全系列北美信息标准组织安全规范信息安全系列美国国家标准技术院英国国家信息安全标准信息安全基础保护内部信息安全标准安全技术标准信息系统安全专家丛书本资料来自本资料来自术语和定义认证验证用户设备和其他实体的身份验证数据的完整性。可用性数据或资源的特性，被授权实体按要求能及时访问和使用数据或资源。保密性数据所具有的特性，即表示数据所达到的未提供或未泄露给未授权的个人过程或其他实体的程度。完整性在防止非授权用户修改或使用资源和防止授权用户不正确地修改或使用资源的情况下,信息系统中的数据与在原文档中的相同，并未遭受偶然或恶意的修改或破坏时所具的性质。数字签名添加到消息中的数据，它允许消息的接收方验证该消息的来源。加密通过密码系统把明文变换为不可懂的形式。身份认证使信息处理系统能识别出用户设备和其他实体的测试实施过程。密钥控制加密或解密操作的位串。漏洞由软硬件的设计疏忽或漏洞导致的能避过系统的安全措施的种。恶意代码在硬件固件或软件中所实施的程序，其目的是执行未经授权的或有害的行动。不可抵赖性信息系统中涉及的若干个实体中的个对曾参与全部或部分通信过程不能否认的特性。口令用来鉴别实体身份的受保护或秘密的字符串。安全策略规定机构如何管理保护与分发敏感信息的法规与条例的集合。本资料来自本资料来自验证将活动处理过程或产品与相应的要求或规范相比较。例将规范与安全策略模型相比较，或者将目标代码与源代码相比较。应用系统安装管理规范测试安全随着业务的发展，不断有新的应用系统投入使用，在应用系统正式投入使用之前必须进行测试以保证系统的安全和可靠，并符合企业的相关安全管理规范。对于应用系统的测试应遵从以下几个方面进行相关的规定在测试之前必须预先提出申请。通常由应用系统的使用部门中负责系统管理的相关人员向部门领导提出测试的申请，并注明测试的原因目的，时间，项目等。如果需要用真实的业务数据进行测试还需要进步向公司信息安全部门确认并事先做好数据的保密工作。明确参与测试的人员和人员的职责。参与测试的人员必须经过定的筛选，通常由系统的开发人员或系统供应商的技术支持人员以及公司相关业务部门的系统维护人员和系统使用者共同参与。应编写详细的测试计划。在测试的申请得到批准的前提下，要跟踪问题的处理情况，直到问题得到圆满的解决。具体的维护的步骤可以分为维护要求或问题提出，应用系统使用者应根据业务上或安全上的实际需求提出系统上的改进或维护要求。维护要求或问题分析，相关的开发部门或开发商应协同安全管理部门对相关的要求进行分析，确认要求的客观性和可行性。企业不宜自行修改外购的应用软件系统。本资料来自本资料来自提出解决的方案，根据要求和相应的分析结果，提出具体的解决方案反馈回用户。应审批维护的方案，用户同意后交上级主管部门审批。确定维护的计划，审批通过后应设计具体的维护计划。应对程序进行修改，测试，然后实施修改后的系统。卸载处理管理当应用系统经过长期的使用，系统的功能已经无法满足日益增长的业务上的需求，则需要考虑将应用系统进行升级或更换。这时应妥善的处理原有应用系统的处置问题，应符合以下规范在卸载之前必须事先做好所有系统中重要信息的备份工作，系统的数据应由系统管理员负责，个人的数据备份工作应由个人用户在系统管理员的正确指导下进行。些需要进行销毁的信息必须事先取得相关数据拥有者的同意，并且必须先将存储介质上的数据销毁，然后再将存储介质进行物理销毁。正确的卸载应用系统。用户必须在系统管理人员的指导下正确地卸载相关的应用系统。不正确的卸载过程可能会导致系统不稳定。因此必须根据指定的步骤进行卸载的工作。凡是在卸载过程中遇到不确定的因素应立即向管理员询问，不得自作主张。应用系统成功卸载后应在系统相应的登记簿中进行登记，记录卸载的时间和相关的其他信息。并再次检查，确保应用程序已经成功的卸载。本资料来自本资料来自附附录录参参考考文文献献国家法律中华人民共和国国家安全法中华人民共和国计算机信息系统安全保护条例中华人民共和国计算机信息网络国际联网管理暂行规定中华人民共和国保守国家秘密法中华人民共和国国家安全法国家规定维护互联网安全的决定中华人民共和国计算机信息系统安全保护条例中国信息安全产品测评认证用标准目录军用计算机安全评估准则国土资源部信息网络安全管理规定安全策略分析报告样例浅谈金融计算机信息系统安全管理电子计算机机房施工及验收规范电子计算机机房设计规范网络国际联网管理暂行规定计算机信息系统国际联网保密管理规定计算机信息系统安全专用产品分类原则计算机信息系统安全产品部件安全功能检测计算机信息系统安全保护等级划分准则计算机信息系统安全等级保护操作系统技术要求计算机信息系统安全等级保护数据库管理系统技术要求计算机信息系统安全等级保护管理要求计算机信息系统安全等级保护网络技术要求计算机信息系统安全等级保护通用技术要求计算机软件保护条例本资料来自本资料来自计算站场地安全要计算站场地技术条件银行卡联网联合安全规范国家防火规范标准建筑内部装修设计防火规范建筑物防雷设计规范建筑设计防火规范火灾自动报警系统设计规范高层民用建筑设计防火规范国外相关标准本资料来自本资料来自附附录录本本规规范范用用词词说说明明便于在执行本规范条文时区别对待，对要求严格程度不同的用词说明如下表示很严格，非这样做不可的正面词采用必须反面词采用严禁表示严格，在正常情况下均应这样做的正面词采用应反面词采用不应或不得。表示允许稍有选择，在条件许可时首先应这样做的正面词采用宜或可反面词采用不宜。二条文中指定应按其它有关标准规范执行时，写法为应符合„„的规定或应按„„要求或规定执行。本资料来自本资料来自中国石油信息安全标准编号中国石油天然气股份有限公司应用系统使用安全管理通则审阅稿版本号审阅人王巍中国石油天然股份有限公司本资料来自本资料来自前言随着中国石油天然气股份有限公司以下简称中国石油信息化建设的稳步推进，信息安全日益受到中国石油的广泛关注，加强信息安全的管理和制度无疑成为信息化建设得以顺利实施的重要保障。中国石油需要建立统的信息安全管理政策和标准，并在集团内统推广实施。本规范是依据中国石油信息安全的现状，参照国际国内和行业相关技术标准及规范，结合中国石油自身的应用特点，制定的适合于中国石油信息安全的标准与规范。目标在于通过在中国石油范围内建立信息安全相关标准与规范，提高中国石油信息安全的技术和管理能力。信息技术安全总体框架如下区域安全管理规范机房安全管理规范硬件设备管理规范网络安全管理规范通用安全管理标准数据和文档安全管理规范应用系统使用安全管理标准通则应用系统开发安全管理标准通则商业软件购买管理标准电子邮件安全管理规范系统安全管理规范电子商务安全规范防御恶意代码和计算机犯罪管理规范信息安全技术标准物理环境安全管理硬件设备安全管理操作系统安全管理数据和文档安全管理应用系统安全管理网络安全管理概述通用网络安全管理规范内部网络安全管理规范外部网络安全管理规范认证管理通用标准通用安全管理标准概述授权管理通用标准加固管理通用标准加密管理通用标准日志管理通用标准系统登陆管理通用标准操作系统安全管理规范整体信息技术安全架构从逻辑上共分为个部分，分别为物理环境硬件设备网络操作系统数据和文档应用系统和通用安全管理标准。图中带